- 13,858
- 20
- 8 Ноя 2022
SpecterOps преподаст урок: как управлять серверами Microsoft безопасно?
Группа исследователей из компании SpecterOps анонсировала выпуск Для просмотра ссылки Войдиили Зарегистрируйся — обширного репозитория с описанием методов атак и защиты для среды Microsoft Configuration Manager (MCM). Этот продукт, ранее известный как System Center Configuration Manager (SCCM), помогает администраторам управлять серверами и рабочими станциями в доменах Windows с 1994 года, но при этом часто неправильно настраивается, создавая риски для безопасности.
Презентация Misconfiguration Manager состоялась на конференции Для просмотра ссылки Войдиили Зарегистрируйся . Авторы репозитория — исследователи из SpecterOps: Крис Томпсон, Гаррет Фостер и Дуан Майкл. Как поясняют специалисты, их подход выходит за рамки простого описания тактик, используемых известными злоумышленниками. Репозиторий включает в себя также методы, разработанные в ходе пентестов, операций "красных команд" и независимых исследований в области безопасности.
В блоге Дуана Майкла приводятся примеры самых распространенных и опасных ошибок конфигурации MCM, с которыми сталкиваются эксперты. Среди них — предоставление учетным записям сетевого доступа (Network Access Accounts, NAA) чрезмерных привилегий. Новички или неопытные администраторы зачастую используют одну привилегированную учетную запись для всех служб MCM.
В одном из случаев исследователям удалось проследить цепочку от компрометации аккаунта стандартного пользователя SharePoint до захвата доменного контроллера — исключительно из-за ошибок при развертывании MCM с привилегированными NAA.
Еще одной распространенной проблемой является ситуация, когда доменные контроллеры регистрируются в качестве клиентских устройств в инфраструктуре MCM. При неправильной настройке иерархии это открывает возможность для удаленного выполнения кода
В ходе другого теста команде SpecterOps удалось проникнуть в центральную базу данных административного сайта MCM и назначить себе роль администратора с полными правами. После этого, используя функционал самого MCM, они смогли запустить вредоносный код, заранее размещенный в сетевой папке на одном из компьютеров в домене.
Репозиторий Misconfiguration Manager описывает 22 метода атаки, которые могут применяться для прямого взлома MCM или вторичной эксплуатации среды. Техники разделены по типам: доступ к учетным данным, повышение привилегий, сбор разведданных и захват инфраструктуры.
Для каждого вектора угроз авторы предлагают методы защиты, разделенные на три категории:
Авторы Misconfiguration Manager призывают тщательно тестировать описанные методы защиты перед внедрением их в промышленную эксплуатацию.
Группа исследователей из компании SpecterOps анонсировала выпуск Для просмотра ссылки Войди
Презентация Misconfiguration Manager состоялась на конференции Для просмотра ссылки Войди
В блоге Дуана Майкла приводятся примеры самых распространенных и опасных ошибок конфигурации MCM, с которыми сталкиваются эксперты. Среди них — предоставление учетным записям сетевого доступа (Network Access Accounts, NAA) чрезмерных привилегий. Новички или неопытные администраторы зачастую используют одну привилегированную учетную запись для всех служб MCM.
В одном из случаев исследователям удалось проследить цепочку от компрометации аккаунта стандартного пользователя SharePoint до захвата доменного контроллера — исключительно из-за ошибок при развертывании MCM с привилегированными NAA.
Еще одной распространенной проблемой является ситуация, когда доменные контроллеры регистрируются в качестве клиентских устройств в инфраструктуре MCM. При неправильной настройке иерархии это открывает возможность для удаленного выполнения кода
В ходе другого теста команде SpecterOps удалось проникнуть в центральную базу данных административного сайта MCM и назначить себе роль администратора с полными правами. После этого, используя функционал самого MCM, они смогли запустить вредоносный код, заранее размещенный в сетевой папке на одном из компьютеров в домене.
Репозиторий Misconfiguration Manager описывает 22 метода атаки, которые могут применяться для прямого взлома MCM или вторичной эксплуатации среды. Техники разделены по типам: доступ к учетным данным, повышение привилегий, сбор разведданных и захват инфраструктуры.
Для каждого вектора угроз авторы предлагают методы защиты, разделенные на три категории:
- Предотвращение (PREVENT) — изменения конфигурации для нейтрализации конкретного метода.
- Обнаружение (DETECT) — рекомендации по выявлению следов атаки.
- Канарейки (CANARY) — стратегии обнаружения с использованием своеобразны<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">х «приманок» для злоумышленников.</span>
Авторы Misconfiguration Manager призывают тщательно тестировать описанные методы защиты перед внедрением их в промышленную эксплуатацию.
- Источник новости
- www.securitylab.ru
